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(57) Abstract: The invention 

concerns a method for generating 
unchallengeable signature with a smart 
card (CPi). The latter stores in a storage 
unit (M)two pairs of so-called mother 
keys and two diversified keys (dKS l(i) 
and dKSwj) obtained from said pair of 
keys and an identifier, by applying a 
triple DES cryptographic algorithm and 
a certificate generated by a certification 
authority based a private key of said 
authority, a public key and by applying 
a RSA cryptographic algorithm. The 
signaiurefS/GJVy is obtained from the 
two diversified keys (dKS I(i j and dKS 2 (ij) 
and data (MSG) to be transmitted by 
applying a triple DES (3). In a preferred 
embodiment, two authenticating 
additional keys are stored in the storage 
unit (M). Said keys are generated by 
the certification authority and serve 
to generate data authenticating the 
signature, by applying a triple DES. 
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Public : 

— avec rapport de recherche international 

En ce qui concerne les codes a deux lettres et autres abrevia- 
tions, se rc'ferer aux "Notes explicatives relatives aux codes et 
abreviations" Jigurant au debut de chaque numero ordinaire de 
la Gazette du PCT. 



(57) Abrege : U invention concerne un precede de generation de signature non -repudiable par une carte a puce (CP t ). Celle-ci stocke 
dans une memoire (M) deux paires de cles dites meres et deux cles diversifiees (dKSiQ) et dKS^)) obtenues a partir de ces paires de 
cles et d'un identifiant, par application d'un algorithme de cryptographic de type triple "DES" et un certificat genere par une autorite 
de certification a partir d'une cle privee de cette autorite, d'une cle publique et par application d'un algorithme de cryptographic de 
type "RSA'\ La signature (SIGNd e st obtenue a partir des deux cles diversifiees (dKSw) et dKSw)) et des donnees (MSG) a transmettre 
par application d'un triple ,r DES" (3). Dans une variante preferee, deux cles supplementaires d'authentification sont stockees dans la 
memoire (Af). Ces cles sont generees par Y autorite de certification et servent a generer des donnees d'authentification de la signature, 
par application d'un triple "DES". 
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PROCEDE DE GENERATION DE SIGNATURES NON-REPUDIABLES, 
NOTAMMENT PAR UN SYSTEME EMBARQUE, ET SYSTEME 
EMBARQUE POUR LA MISE EN CEUVRE DU PROCEDE 

L'invention concerne un proc^de de g6n6ration de signatures non 
r6pudiables, notamment par un syst&me embarqu6 k puce Electronique. 

L'invention concerne encore un systeme embarqu6 pour la mise en 
ceuvre du proc6de, notamment une carte a puce. 
5 Dans le cadre de l'invention, le terme "syst&me embarque" doit etre 

compris dans son sens le plus g6n§ral. II concerne notamment toutes sortes 
de terminaux I6gers munis d'une puce electronique, et plus particulierement 
les cartes a puce proprement dites. La puce Electronique est munie de 
moyens d'enregistrement et de traitement de donn6es num6riques, par 
10 exemple un microprocesseur pour ces derniers moyens. 

Pour fixer les idees, et sans que cela limite en quoi que ce soit sa 
portee, on se placera ci-apres dans le cas de Papplication pref6r6e de 
l'invention, a savoir les applications a base de cartes a puce, sauf mention 
contraire. 

15 Ces demieres annees, les echanges de documents sous forme 

electronique se sont fortement accrus, notamment via le r6seau Internet. Or 
ces echanges posent plusieurs problemes. En particulier, comme dans le 
cas de documents sous forme traditionnelle, c'est-a-dire notamment sous 
forme papier, il est gen6ralement necessaire d'y apposer une signature et, 

20 surtout que cette signature identifie sans ambiguTte Temetteur du document 
et ne soit pas repudiable par son destinataire. 

Jusqu^ une p6riode recente, seul§ les documents "papiers" 
pouvaient faire foi. Dans beaucoup de pays, la loi exige tfailleurs une 
signature manuscrite originate. Or, dans un environnement electronique, 

25 Toriginal d'un document, par exemple d'un contrat, ne se distingue en 
aucune fafon d'une copie. 

II existe cependant des technologies qui permettent de remplir tout 
ou partie de fonctions perpues comme caract§ristiques d'une signature 
manuscrite traditionnelle. Ces technologies mettent en ceuvre g6n6ralement 
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des techniques de chiffrement, associees ou non a des certificats 
d'authentification. La signature electronique est une sequence binaire 
habituellement obtenue par le chiffrement du message transmis a I'aide d'un 
algorithme de cryptologie particulier et de cles de signature. On doit bien 
comprendre cependant que le message proprement dit peut etre transmis 
en clair s'il n'existe pas de besoins particuliers de confidentialite. II s'aglt 
d'une technique dite de "scellement". Le message et la signature sont 
transmis au destinataire, accompagnes eventuellement d'6l<5ments de cles 
de chiffrement ou de verification dans certains precedes de cryptographie 
mettant en ceuvre une cle dite publique. Le destinataire utilise la signature et 
le message transmis a I'aide du meme algorithme et la cle publique precitee, 
ce qui lui permet de verifier I'authenticite de la signature de I'emetteur. 
Accessoirement, le processus permet de garantir I'integrite du message 
transmis. En effet, si celui-ci venait a etre corrompu de facon fortuite ou 
malveillante, le dechiffrement permet de mettre ce dysfonctionnement en 
evidence. 

Certains pays, comme I'Allemagne, I'ltalie, le Danemark, en Europe, 
certains Etats des Etats-Unis ou du Canada (le Quebec) ont legalise des 
precedes de signature electronique. 

Fin 1999, le Parlement Europeen et le Conseil de I'Union 
Europeenne ont emis une directive qui devra etre transcrite dans les droits 
nationaux des pays membres (article 13). Dans Particle premier de cette 
directive, 1 er alinea, il est indique que "I'objectif de la presente directive est 
de faciliter I'utilisation des signatures electroniques et de contribuer a leur 
reconnaissance jun'dique. Elle institue un cadre jun'dique pour les signatures 
electroniques et certains services de certification afin de garantir le bon 
fonctionnement du march6 inte'rieut'. 

A I'article 2, une "signature Electronique" est delinie comme suit : 
"une donne~e sous forme electronique, qui est jointe ou liee logiquement a 
d'autres donnees Electroniques et qui sert de methode d'authentification" . 

II est prevu deux types de signatures electroniques, Tune pouvant 
etre qualifiee de "simple". La seconde est appelee "avancee" dans la 
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directive. II s'agit d'une signature £lectronique "qui satisfait aux exigences 
suivantes : 

a) §tre Me uniquement au signataire ; 

b) permettre d'identifier le signataire ; 

5 c) §tre cr£6e par des moyens que le signataire puisse garder sous 

son controie exclusif ; et 

d) etre Ii6e aux donnGes auxquelles elle se rapporte de telle sorte 
que toute modification ulterieure des donates soit detectable' 1 . 

(-'invention vise plus particulierement le second type de signature 

10 electronique. Pour ce faire, il est n£cessaire d'avoir recours & des dispositifs 
securises, mettant en oeuvre un procede de chiffrement (signature) de 
donn6es, des certificats dits "qualifies" et une autorite, appetee 'prestataire 
de service de certification" dans la directive, que Ton appellera ci-apr6s 
"autorite de certification", L'autorite de certification g6nere notamment une 

15 cle publique utilisee dans le processus precite par les cartes a puce. 

En effet, de fa9on pratique, des procedes de cryptographie 
asymetriques doivent etre utilises. Selon ces procedes, il est mis en oeuvre 
une cl§ de signature priv6e, c'est-a-dire secrete, detenue par le signataire, 
et une cle publique de verification de signature. En r6alit6, dans les 

20 applications a base de carte a puce, la cle privee est enregistree dans une 
zone de memoire non-volatile des cartes a puce du signataire, memoire de 
type "ROM", "EEPROM" ou equivalent. 

Les procedes de cryptographie asym£triques sont reputes non 
repudiables car le verificateur de la signature, du fait des caracteristiques 

25 inherentes a ces procedes, ne sait pas signer. 

Pour fixer les idees, un exemple de precede de cryptographie 
asymetrique bien connu et largement utilise est constitue par le procede dit 
"RSA" (du nom de ses inventeurs Rivest, Shamir et Adleman). Une 
description de ce procede peut etre trouvee dans le brevet US-A-4405829. 

30 Bien qu'efficaces, les procedes de cryptographie asymetriques ne 

sont pas pour autant depourvus d'inconvenients. lis sont en effet deiicats et 
couteux a mettre en oeuvre. 
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En premier lieu, il necessaire de gerer et generer autant de paires 
de cles privee/publique qu'il y a d'utilisateurs a doter de cet instrument de 
signature Electronique. 

En second lieu, la cryptographie asymetrique necessite des 
5 ressources informatiques non negligeables, du moins par rapport a celles 
habituellement ottertes par une puce electronique. II est notamment 
necessaire de prevoir un co-processeur arithmetique pour effectuer les 
calculs de chiffrement/dechiffrement. 

II s'ensuit que le cout de puces electroniques dotees de la 
W puissance de calcul necessaire a la cryptographie asymetrique est 
sensiblement plus eleve que les puces traditionnelles utilisees a ce jour par 
I'ensemble des autres applications. Or, les considerations de coQt, pour un 
composant de tres grande diffusion, sont primordiales. 

On pourrait penser avoir recours a des procedes de cryptographie 
15 symetrique, moins exigeants en ressources informatiques. Cependant ces 
derniers, de par leurs caracteristiques propres, ne peuvent garantir la 
condition de "non repudiable" recherchee, car le verificateur de la 
signature peut egalement signer, puisqu'il se trouve a priori dans les memes 
conditions que le signataire. 
20 L'invention vise a pallier les inconvenients des procedes et 

dispositifs de I'art connu, dont certains viennent d'etre rappeles, tout en 
satisfaisant aux besoins qui se font sentir. 

L'invention se fixe pour but un procede de generation de signatures 
non repudiables, specialement adapte a des applications mettant en oeuvre 
25 des terminaux legers tels des systemes embarques a puce electronique, et 
plus particulierement des cartes a puce, dont l^une des caracteristiques est 
d'offrir des ressources informatiques limitees. 

Pour ce faire, selon une caracteristique avantageuse, le procede 
selon l'invention associe la cryptographie symetrique a la cryptographie 
30 asymetrique statique, etant entendu que les operations mettant en ceuvre ce 
dernier procede ne sont pas effectuees dans le terminal embarque. II 
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s'ensuit qu'il n'est pas n6cessaire de doter celui-ci d'une puissance de calcul 
accrue, notamment d*y implanter un co-processeur math6matique. 

Dans un premier mode de realisation de Tinvention, le proc6d6 
comprend une phase pr6liminaire comportant les 6tapes principales 
5 suivantes : 

1 . On dote toutes les cartes a puce de deux paires de cl6s de signature 
dites "meres", les deux paires de cl6s etant identiques pour toutes les 
cartes a puce. 

2. Chacune des cartes a puce regoit egalement deux cl6s diversifies 
10 propres a chaque carte a puce, calculees a partir de ces paires de 

cles "meres " et d'un identifiant propre a la carte a puce en question 
(et/ou de toute autre information identifiant le porteur) et contenu 
dans celle-ci. Le calcul des cles diversifies est effectu6 en ayant 
recours a un procede de cryptographie sym6trique, de pr6f6rence, 
75 mais non exclusivement, en faisant appel au proc6d§ dit "triple DES" 

(pour "Data Encryption Standard"). 

3. L'identifiant (et eventuellement d'autres informations) de la carte a 
puce, est(sont) certifies) par une cle privee (c'est-a-dire secrete) 
detenue par une autorit§ dite de "certification". Ce certificat 

20 accompagne Tidentifiant dans la carte a puce et constitue 

Thabilitation a signer 11 du porteur de la carte a puce. Le certificat est 
calcule en ayant recours a un procede de cryptographie de type 
asymetrique, de preference le procede dit "RSA" pr6cit6. II doit 
cependant bien etre compris que les calculs necessaires sont 

25 effectues par Tautorite de certification, qui peut disposer de moyens 

informatiques puissants et non par la carte a puce. De fagon plus 
precise, le certificat est calcule k partir des donnees d'identification de 
la carte a puce et/ou de son porteur a Paide d'une cl6 priv6e, cette 
derni^re etant propri6t6 de l'autorit6 de certification. 

30 Dans les applications a base de cartes a puce, cette phase 

preliminaire est habituellement realis^e lors de I'operation dite de 
"personnalisation" des cartes ^ puce. 
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La cl6 publique de certification est disponible pour le contrdle des 
certificats par i'autorit^ de certification et pour le contr6le par chacun des 
possesseurs d'un instrument de signature. Ce peut §tre, dans une premiere 
variante de realisation, Pensemble des usagers possesseurs d'une carte & 

5 puce, ou, dans une seconde variante de realisation, seulement les usagers 
appartenant a un meme groupe. Dans ce dernier cas, la population des 
usagers est scindee en au moins deux groupes distincts. 

L'algorithme "DES" precite a 6te publie en 1977 par un organisme 
officiel americain, le "NBS" ("National Bureau of Standards"). A titre 

10 d'exemple, une description de cet algorithme peut etre trouvee dans I'article 
de Jean-Pierre TUAL, intitule "Cryptographie", paru dans "Les Techniques 
de Nng6nieur\ volume H2, pages 248-1 a 248-29. 

De meme, un exemple de mise en ceuvre de certificats est d6crit 
dans Tart'icle de G6rard RIBIERE, intitule "Certification 6lectronique et 

15 s6curite", paru "Les Techniques de Tlngenieur", volume H2, pages 258-1 k 
258-11. 

Les etapes ulterieures, que Ton pourra qualifier d'op6rationnelles, 
comprennent au moins la generation d'une signature lors de remission d'un 
message ou plus generalement d'un document electronique par Tun des 

20 possesseurs de carte a puce, que Ton appellera signataire. 

Le calcul de la signature est realise par un chiffrement des donnees 
a transmettre a Taide des cles diversifiees precitees, en faisant appel a un 
algorithme de cryptographie symetrique, de preference le triple "DES" 
comme indique precedemment. 

25 La reconstitution et la verification de la signature, s'effectuent par 

une operation identique au chiffrement, par un ou plusieurs destinataires, a 
I'aide des cles diversifiees du signataire, reconstitutes par le ou les 
destinataires(s), et du meme algorithme symetrique. Le signataire transmet 
egalement son certificat et les donnees dldentification ayant servies a le 

30 calculer a Tetape 3.) de la phase pr6liminaire. Ce certificat est v6rifi6 par le 
ou les destinataire(s) a Taide de la cle publique precitee. II est fait appel a un 
algorithme asymetrique. Les calculs necessaires peuvent etre effectues par 
un terminal hote de la carte a puce. 
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Selon un deuxieme mode de realisation du proc6d6 selon 
I'invention, celui-ci comprend egalement I'essentiel des etapes de la phase 
preliminaire. Cependant, Tune des deux cl6s diversifi6es est obtenue 6 partir 
d'une des deux paires de cies "maitre" et de donn6es d'identification d'un 
5 destinataire, et non plus de remetteur comme dans la premiere variante. 
Selon cette variante, seul ce destinataire est alors en mesure de verifier la 
signature de remetteur. A cette exception prfcs, la verification s'effectue de 
la meme maniere que pr6cedemment. 

On constate que, dans ces deux modes de realisation, toutes les 
10 cartes a puce possedent les deux paires de cl6s meres, ce qui peut 
presenter une faiblesse d'un point de vue security. 

Aussi, dans une variante pr6feree, compatible avec les deux modes 
de realisation, de maniere a augmenter la robustesse du proc6d6, on ajoute 
dans chacune des cartes a puce une paire de cles diversifi6es issues de la 
15 diversification de deux paires de cles d'authentification appartenant k 
Pautorite de certification. Cette operation est r6alis6e lors d'une etape 
suppl6mentaire de la phase preiiminaire. Le calcul des cles de chaque carte 
a puce est effectue en faisant appel a un algorithme symetrique et k un 
identifiant propre a cette carte a puce. Comme prec6demment, I'algorithme 
20 symetrique est preterentiellement un triple "DES". A partir des cies 
diversifiees residentes dans la carte a puce et de la signature 
precedemment generee, en faisant appel a un algorithme symetrique, la 
carte a puce genere des donnees supplementaires que Ton appellera ci- 
apres "donnees d'authentification de signature". Ces donnees sont 
25 6galement transmises au(x) destinataire(s). Ce (ces) dernier(s) peu(ven)t les 
soumettre & rautorite de certification qui peut £^son tour les authentifier par 
retour. 

Dans une variante de realisation preferee encore, on prevoit 
avantageusement un compteur de generation de signatures utilise pour 
30 securiser la generation de signature et assurer la tragabilite, par exemple 
pour detecter des signatures differentes portant le m§me numero. Les 
compteurs sont egalement residents dans les cartes a puce et peuvent 
servir optionnellement & Initialisation de toute signature de donn6es. 
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L'invention a done pour objet principal un proc6de de generation de 
signature non-r6pudiable par une premiere entity d'un ensemble, 
notamment par un systeme embarqud h puce eiectronique comportant au 
moins des moyens de memoire non-volatile et des moyens de calcul, ladite 
signature etant destinee a etre diffus6e et verifi6e par au moins Tune 
desdites entites de I'ensemble, caracterise en ce qu'il comprend une phase 
preliminaire comportant au moins les etapes suivantes : 

le stockage dans lesdits moyens de memoire non-volatile de deux 

paires de cles de signature dites "meres", communes a toutes lesdites 

entit6s ; 

la generation, a partir d'au moins une desdites paires de cles de 
signature "meres" et d'un identifiant unique, propre & ladite premiere 
entite, d'une premiere cle de signature dite "diversifiee", par application 
d'un algorithme de cryptographie symetrique et le stockage de ladite cl6 
diversifiee dans lesdits moyens de memoire non-volatile ; 

le stockage dudit identifiant unique dans lesdits moyens de memoire 
non-volatile ; 

la generation par une entite supplemental dite "autorite de 
certification" d'un certificat constituant une habilitation a signer pour 
ladite premiere entite, ledit certificat etant obtenu a partir d'au moins 
ledit identifiant et d ! une cle privee de chiffrement detenue par ladite 
autorite de certification, par application d'un algorithme de 
cryptographie asymetrique, et le stockage dudit certificat dans lesdits 
moyens de memoire non-volatile ; et 

la distribution, par ladite autorite de certification, d'une cle publique de 
verification de signature a tout ou partie desdites entites de 
I'ensemble, 

et une phase subsequente comprenant au moins les etapes 
suivantes : 

la generation de ladite signature non-repudiable a partir de ladite 
premiere cle de signature diversifiee, d'une deuxieme cle de signature 
diversifiee et de donnees a transmettre destinees a au moins une 
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desdites entites de Tensemble, par application d'un algorithme de 
cryptage sym6trique ; et 

la diffusion a destination d'au moins Tune desdites entites de 
Tensemble d'au moins desdites donn6es, de ladite signature, dudit 
5 identifiant et dudit certificat. 

L'invention a encore pour objet un systeme embarque a puce 
electronique pour la mise en ceuvre de ce proc6d6, notamment une carte h 
puce. 

Uinvention va maintenant etre decrite de fagon plus d6tailiee en se 
10 ref6rant aux dessins annexes, parmi lesquels : 

- la figure 1 illustre schematiquement Tarchitecture d'une carte a 
puce pour la generation d'une signature non repudiable selon 
Tinvention ; 

La figure 2 illustre sch6matiquement la generation d'une cle de 
15 signature dite diversifiee pour la carte a puce de la figure 1 a partir 

d'une paire de cles de signature dites "meres" et d'un identifiant de 
la carte a puce ; 

la figure 3 illustre schematiquement le processus de 
generation d'une signature non repudiable selon un premier mode 
20 de realisation du procede selon Tinvention ; 

la figure 4 illustre schematiquement le processus de generation 
de cles dites d'authentification de signature par une entite dite 
autorite de certification ; 

la figure 5 illustre schematiquement le processus de 
25 generation d'une signature non repudiable selon un deuxieme mode 

de realisation du procede selon Tinvention ; 

la figure 6 illustre le processus de generation de donnees dites 
d'authentification a partir des cles d'authentification et de la 
signature precitee ; 

30 - la figure 7 illustre schematiquement les differentes donnees 

transmises par une carte a puce signataire ; 
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la figure 8 illustre schematiquement retape de verification 
d'une signature g6ner6e selon le premier mode de g6n6ration de 
signatures non r6pudiables ; 

- la figure 9 illustre schematiquement P6tape de verification d'une 
signature generee selon le deuxieme mode de g6n6ration de 
signatures non r6pudiables ; et 

la figure 10 illustre schematiquement le processus 
d'authentification par I'autorite pr6cite de certification d'une signature 
g6neree par une carte a puce. 

On va maintenant decrire de fagon plus detailtee un exemple de 
realisation preferee de procede de generation de signatures non 
repudiables selon invention, selon plusieurs variantes. 

Comme il a ete indiqu6, pour f ixer les idees, sans limiter en quoi que 
ce soit la portee de I'invention, on se placera dans le cas d'une application k 
base de cartes a puce. La puce electronique de cette derniere comprend, de 
iagon habituelle, des moyens de calcul, comprenant par exemple un 
microprocesseur, et des moyens de memoire, vive et non-volatile. Une telle 
architecture est bien connue de Phomme de metier et il est inutile de la 
decrire plus avant. 

La figure 1 illustre schematiquement I'architecture d'une carte k 
puce CP/, / etant un indice arbitraire reperant une des cartes a puce d'un 
ensemble de n cartes a puce CP^ a CP n (non represented Sur la figure 1, 
seule la memoire non-volatile, reperee M, a ete representee. II peut s'agir 
d'une memoire de type "ROM" ("Read-Only Memory", a lecture seule), d'une 
memoire de type "EEPROM" (Electrically Erasable Programmable Read 
Only Memory", a lecture seule, mais re-progratmmable) ou de toute autre 
memoire d'un type similaire. 

Lors d'une phase preliminaire, avantageusement lors de la phase 
dite de "personnalisation" de la carte a puce CP h on enregistre, dans des 
positions de memoire predeterminees, M\, M 2 , M 4 et M B , respectivement 
dans I'exemple decrit, deux paires de cles dites "meres", MKSu et MKS\*, 
d'une part, et MKS 2 i et MK522, d'autre part. Ces cl6s "meres" sont 
communes a toutes les cartes a puce, CP\ a CP n . 
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Selon une premiere variante de realisation du proc6d6 conforme h 
Tinvention, un usager U it c'est-&-dire le porteur de la carte k puce CP/, signe 
un message ou des donnees transmises. Tous les autres usagers peuvent 
verifier cette signature. 

5 Pour ce faire, deux cl6s diversifies, dKS^ et c/K^, 

respectivement, sont calculees et enregistr6es dans des positions de 
m<§moires, M A et M 6t par exemple. Ce calcul, r6alis6 h I'extSrieur de la carte 
a puce CP h met en ceuvre un algorithme sym6trique. De fa$on 
prSferentielle, il s'agit d'un triple "DES". On supposera d'ailleurs ci-apr£s, h 

10 chaque fois que Ton aura recours a un algorithme sym6trique, qu'il s'agit 
egalement du triple "DES", que Ton notera ci-apres "T-DES" par 
simplification. 

La figure 2 illustre sch6matiquement le calcul de la cl6 clKS^. Le 
triple "DES", reference 1 , comprend trois etages en cascade 10 & 12. A titre 

15 d'exemple, les Stages 10 et 12 realisent un "DES" dit "direct". La cl6 de 
signature utilisee pour ces deux Stages est, toujours dans Texemple, la cl6 
MKS U . L'etage intermediate 1 1 realise un "DES" dit inverse, que Ton notera 
"DES" 1 ". La cle de signature utilisSe pour cet Stage est la cIS MKS12. En 
entree du premier etage 10, on injecte une donnee d'identification IDi de la 

20 carte a puce CP/ et/ou de son porteur U§ (figure 1). Cette donnSe 
d'identification ID t peut etre unique ou issue de plusieurs donnSes distinctes, 
par exemple concatenees, avec eventuellement des donnSes de 
remplissage pour obtenir un mot binaire de longueur prSdSterminSe. Sur la 
figure 1 , on a represents deux sources de donnees ^identification, notSes 

25 Info et Div (numSro de la carte & puce CP,-, etc.). Ces donnSes sont 
egalement residentes dans la carte a puce Ch et, dans Texemple illustrS, 
enregistrSes dans les positions M7 et Mb de la mSmoire M. 

La sortie de TStage 10 est transmise a TentrSe de Tetage 11 et la 
sortie de Tetage 11 est transmise a Tentree de V Stage 12. Finalement, en 

30 sortie de Tetage 12, on obtient la cle diversifiSe dKS^ propre h la carte a 
puce CP h cle diversifiee enregistree dans la position de mSmoire Ms comme 
il a 6t6 indiquS. 
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Les calculs s'effectuent en milieu s6curis6, par exemple par une 
entity que Ton appellera Tencarteur", en dehors de la carte h puce CP/. Le 
module 1 pour la mise en oeuvre du T-DES" peut §tre indifferemment de 
type "materiel" (circuits specialises) ou faire appel a un logiciel. 

5 La cte dKS2 {i) est obtenue de fagon identique et il est inutile de re- 

decrire le processus. 

Si on se r^fere de nouveau a la figure 1, outre ces differentes 
donnees, un certificat CTA { est calcule par une autorite dite de certification 
CA Pour ce faire, cette derniere entit6 CA met en ceuvre, selon un des 

10 aspects du procede selon I'invention, un algorithme asym6trique, reference 
2, preferentiellement I'algorithme "RSA" pr6cite. Des donnees d'identification 
IDf de la carte a puce CP/ sont chiffrees a I'aide d'une cle priv6e, propri6t§ 
de I'autorite de certification CA, que Ton notera Ka. 

Dans Texemple illustr6 par la figure 1 , le resultat de Top6ration de 

15 chiffrement, c^st-a-dire le certificat CTA f - est enregistr6 dans la position de 
m6moire M 9 . 

L'autorite de certification CA distribue egalement une cl6 publique 
de verification de signature, associee a la cle priv^e K A et que Ton appellera 
ci-apres K Pt a toutes les cartes a puce. 

20 On a suppose, jusqu'a ce point de la description, que tous les 

usagers Ui possesseurs d'une carte a puce CP, faisait partie d'un seul et 
unique groupe, et done que la cle publique K P etait mise h la disposition de 
tous ces usagers U h Selon une autre variante du mode de realisation du 
procede, il est possible de scinder I'ensemble de ces usagers en au moins 

25 deux groupes (non represents). Chaque groupe aura done a sa disposition 

une cle publique distincte de celle des autres groupes : K p i, Kf& K pm , si 

on suppose que m est le nombre de groupes distincts. 

La figure 3 illustre schematiquement la generation d'une signature, 
referencee SIGN h par la carte a puce CP,. 

30 On suppose que le porteur U, de la carte CP, veuille envoyer un 

message MSG qui doit etre signe. Pour ce faire, le message MSG eiabore 
par des moyens de traitement de donnees connus, par exemple le terminal 
bote T de la carte a puce CP/, est transmis en entree d'un "T-DES n , 
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ref6rence3, ou de tout autre algorithme sym6trique similaire. De fa£on 
connue en soi, le message MSG peut etre soumis au pr6alable a une 
operation dite de "hachage" ("hashing"). L'architecture logique de ce 
"T-DES" 3 est identique ou pour le moins tout & fait similaire a celle d6crite 
5 en regard de la figure 2. La cle utilisee pour les Stages "DES" directs est, 
par exemple, la cl6 dKS m et la cl6 utilisSe pour l'6tage "DES" 1 " est la cl§ 
dKS^y Puisqu'il s'agit d'un algorithme synrttrique, il n*est pas n6cessaire de 
disposer de moyens de calcul puissants. Le calcul de la signature peut done 
s'effectuer avantageusement a I'intrieur de la carte a puce CP/, a I'aide des 
10 moyens de calculs standards dont elle dispose (non represents). II s'ensuit 
que, bien que pour des raisons de clarte du dessin, les moyens de calcul 3 
a i en t §t£ represents sur la figure a I'extrieur de la carte a puce CP/, on 
doit bien comprendre qu J ils sont pr6f6rentiellement implants dans la puce 
electronique de celle-ci. De fagon pratique, il ne s'agit pas habituellement de 
15 circuits specifiques. On prefere effectuer le calcul de la signature SIGNi a 
Taide d'un logiciel, enregistr§ dans la memoire M, cooperant avec les 
moyens de calcul standards precits. 

On constate que les cl6s diversifies, dKS m et dKS^ c'est-&-dire 
le secret propre a chacune des cartes a puce CP/, ne sont pas d£voilees au 
20 monde exterieur. Cependant, toutes les cartes h puce CP/ possedent les 
deux paires de cles de signature sous leur forme dite "m&re". Si on arrive a 
"casser" ces cles, la securite globale du proced6 est mise en p6ril. Aussi, 
pour "durcir" le procede vis-a-vis d'attaques exterieures, on ajoute dans 
chacune des cartes a puce CP, une paire de cl6s de signature diversifies 
25 supptementaires, que Ton notera dKSA^) et dKSA 2 ^ respectivement. Ces 
cles sont elles-memes issues de la diversification de deux paires de cl6s 
d'authentification de signature appartenant h Tautorit6 de certification CA 
(figure 1). On explicitera ci-apres, de fa9on plus d&aillee, I'utilite de ces cles. 
La figure 4 illustre schematiquement le processus de generation des 
30 cles diversifies supplementaires, dKSA^ et dKSAz®. Les paires de cles 
dites "d'authentification de signature", MKSA U et MKSA^ MKSA 2 , et 
MKSA22, respectivement, sont transmises aux entries de cle de modules 
mettarit en oeuvre un algorithme symetrique, pr^terentiellement un "T-DES", 
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notes V et 1". En entree de donnees, on injecte un identifiant IDi 
caracterisant la carte & puce CP/. Le processus de calcul des cl6s dKSA^ 
et dKSA 2 (i) est identique, ou pour le moins tout a fait similaire k celui (figure 
2:1) ayant permis de calculer les cl6s diversifies dKS^ et dKS^. On peut 

5 utiliser d'ailleurs les memes circuits, s'il s'agit de circuits electroniques 
sp6cifiques, ou le m§me logiciel. 

Comme pour les cles diversifiees, dKSi^ et dKS^, le calcul est 
effectue lors d'une phase preliminaire, en milieu securis6, par exemple lors 
de la phase dite de "personnalisation" de la carte a puce CP/. Les rdsultats 

10 des calculs, c'est-a-dire les cles d'authentification de signature dKSA^ et 
dKSA 2 (,), sont enregistres egalement dans la memoire M de la carte h puce, 
dans les positions M 10 et Mu (voir egalement la figure 1). 

Selon cette varTante pr6f6r6e~du proc£d6, percer le secret d'une 
carte a puce CP/ devient alors aussi difficile que d'obtenir la c!6 priv6e d'une 

15 carte a puce qui serait dotee d'un algorithme de cryptographie asym6trique 
dynamique. 

Dans une variante encore du procede de generation de signature, 
on prevoit avantageusement un compteur de generation de signature 4, 
dont la sortie est not6e CGS. Le compteur 4 est utilise pour securiser la 

20 generation de signature et pour assurer la traeabilite (signatures differentes 
portant le rneme numero). Si on se reporte de nouveau a la figure 3, on 
constate que la sortie CGS est transmise a I'entree de donnees du "T-DES" 
3. De fagon pratique, il s'agit d'un mot binaire qui peut etre concat6n6 avec 
le message a signer MSG. Ce compteur 4 est egalement implante dans la 

25 carte a puce CP, et sert optionnellement a initialiser toute signature de 
donnees. II peut s'agir d'un composant materiel, appartenant par exemple 
aux circuits des moyens de calcul de la puce 6lectronique de la carte a puce 
CP/. Le comptage (mot CGS) peut egalement etre obtenu par des moyens 
logiciels. 

30 On va maintenant decrire schematiquement un deuxieme mode de 

realisation du procede de generation de signature par reference a la figure 
5. Selon ce mode de realisation, une des cles diversifiees, par exemple la 
cle, referencee desormais dKS^o), est obtenue a I'aide des donnees de 
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diversification d'une autre carte k puce, du groupe auquel appartient la carte 
a puce CP/ s'il existe plusieurs groupes distincts, par exemple les donn6es 
d'identification IDj de la carte k puce CP/, et non k partir des donn6es 
d'identification IDj de la carte k puce signataire CP/. 
5 A Pexception de cette caracteristique, les autres phases et 6tapes 

sont identiques k celles qui ont 6t6 d6crites pour le premier mode de 
realisation. II est done inutile de les re-decrire en entier. De meme, ce mode 
de realisation est compatible avec ['utilisation de ctes d'authentification de 
signature, dKSA^ et dKSA 2 ^ et avec I'utilisation d'un compteur de 
10 generation de signatures 4 produisant le mot CGS. 

Selon ce mode de realisation, du fait pr6cis6ment de la 
caracteristique precit6e, seul le destinataire Uj, e'est-a-dire le possesseur 
de la carte k puce CP; est en mesure de verifier la signature de l'6metteur 
Uf, not6e SIGN 1 ! sur la figure 5. II est interessant de noter que cette dernfere 
75 caracteristique n'est pas offerte par les proc6d6s classiques de 
cryptographie asymetrique dynamique utilises pour la g6n6ration de 
signatures non-repudiables selon Tart connu. 

On suppose que, comme precedemment, la c!6 diversifies dKS^ a 
ete calculee et enregistr6e dans la memoire M de la carte a puce CP/, k la 
20 position Mb, lors de la phase pr6liminaire. Pour ce faire, des donn6es 
d'identification ID, propres a la carte a puce CP; ont 6t6 utilis6es. 

La cle de signature diversiftee dKS' 2 Q) est calcul6e k partir de la 
paire de cl6s de signature "meres" MKS21 et MKS22, comme pr(§c6demment, 
mais en faisant usage de I'identifiant /Oy provenant de la carte k puce CP/, 
25 identifiant enregistre dans une ou plusieurs positions de la m6moire M' de 
celle-ci, de fa9on analogue a I'identifiant ID f pfcur la carte a puce CP/. Le 
calcul de la cle de signature s'effectue en faisant usage d'un T-DES", 
reference 3', recevant sur ces entrees de cle, les cl£s meres MKS21 et 
MKS22, et, en entree de donn§es, I'identifiant IDj pr6cit6. La sortie 
30 repr6sente la cle de signature diversiftee dKS^©. 

Lors de Petape de generation de signature, r6ferenc6e dgsormais 
SIGN'i, le processus mis en oeuvre est identique k celui du calcul de la 
signature SIGNt de la figure 3. Pour ce faire, on recourt k un algorithme 
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symetrique, de preference I'algorithme "T-DES" (module 3), & Pexception du 
fait que la cl6 dKS^o) est calcutee differemment, comme il vient d'etre 
montr6. En entree de donn6es, on injecte le message a signer MSG, et 
optionnellement le mot de comptage de signature CGS (compteur 4 : figure 
5 3). 

Dans ce mode de realisation, il est n6cessaire d'obtenir un 
identifiant certifte du destinataire. 

II est a noter que le calcul de signature SIGN'j est realise a priori 
dans la carte a puce CP/, de maniere a ce que les cl§s diversifiees dKS^ et 

10 dKS'2(j) restent confinees dans celle-ci. II en est de meme pour le calcul de 
la cl6 dKS^o) par le module 3'. 

II est a noter egalement que, dans les deux modes de realisation, la 
diversification des paires de cl6s rri6r£s MKS^, MKS^ 2> MKS 2 i, et MKS 22 par 
I'identifiant d'une carte a puce, /D/ de la carte a puce CP/ par exemple, qui 

15 permettrait de retrouver les cles diversifiees est interdite. Ceci peut §tre 
obtenu simplement par des moyens materiels ou logiciels interdisant la 
divulgation de ces cles et leur mise en ceuvre pour la generation d'une 
signature. Seule la signature obtenue en utilisant ces cles diversifiees peut 
etre transmise au monde exterieur. 

20 Selon les deux modes de realisation, il est possible de generer des 

donnees dites "d'authentification" de la signature emise. La figure 6 illustre 
schematiquement la generation de telles donnees, references ASIGNi pour 
la carte a puce CP,. 

Pour ce faire, on utilise les cles diversifiees supplementaires dites 

25 d'authentification, dKSA^ et dKSA 2 {,), generees de la maniere explicitee en - 
regard de la figure 4 et qui sont enregistrees dans la memoire M, dans les 
positions M i0 et Mn, da ns Pexemple decrit. La signature generee SIGN, est 
transmise a I'entree d'un T-DES", reference 3". De fagon optionnelle, la 
donnee de comptage CGS (figure 3) peut egalement etre injectee en entree 

30 de donnees, par exemple en la concatenant avec le message a signer 
MSG. Les cles dKSA^ et dKSA 2 ^ sont utilisees comme cles de signature. 
L'architecture logique du module 3" est identique ou pour le moins tout a fait 
similaire a celle du module 3 de la figure 3 utilise pour generer la signature 
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SIGNi. La sortie du module 3" represente les donn6es d'authentification de 
signature recherchees ASIGN h Ces donn6es sont transmises au(x) 
destinataire(s) de la signature SIGN h Comme pr6c§demment, le calcul 
s'effectue k I'int6rieur de la carte a puce CP/ pour que les cl6s dKSA^ et 

5 dKSA 2 (i) ne sortent pas de celle-ci. En r6alite, le destinataire final des 
donnees ASIGNi est I'autorite de certification CA (figures 1 ou 4). En effet, 
comme il le sera montre ci-apres, un destinataire, par exemple L//, qui veut 
faire authentifier la signature re?ue SIGNi et s'assurer que c'est une carte a 
puce valide CP/ qui Pa emise, soumet les donnees d'authentification de 

10 signature ASIGN } a I'autorite de certification CA qui seule peut les valider 
puisqu'elle stocke les cl6s meres, MKSA^ a MKSA22, qui ont servi a calculer 
les cles dKSA Hf) et dKSA 2 ®. 

La figure 7 illustre sch6matiquement les diff6rentes donnees 
transmises par une carte a puce signataire CP/ au(x) destinataire(s), dans 

15 une variante de realisation pr6f6r6e. 

Les donnees transmises sont les suivantes : 

- donnees ou messages signes MSG ; 

- donnees optionnelles de comptage de signature CGS ; 

- signature SIGNt; 

20 - identif iant IDi de la carte a puce CP; et/ou de son detenteur U f ; , 

- certificat CTAu et 

- donnees d'authentification ASIGNf. 

C'est a partir de toutes ces donnees que le ou les destinataire(s) 
peu(ven)t verifier la signature SIGNi et, dans la variante pr<§f(§r<§e, 
25 Tauthentifier a I'aide des donnees ASlGNi. 

On va maintenant decrire I'etape de "Verification de la signature 
SIGNi 6mise par une carte a puce, par exemple la carte k puce CP/, ce 
selon les deux modes . principaux de realisation du proc6d6 qui viennent 
d'etre d6crits. 

30 La figure 8 illustre schematiquement retape de verification de la 

signature S/GM, g6n6ree conformement au premier mode de realisation du 
procede selon I'invention, par au moins un usager Ui appartenant k un 
groupe donne ou & I'ensemble des usagers, s'il n'existe pas de groupes 
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distincts. On doit rappeler que le premier mode de realisation autorise la 
verification a priori par tous les usagers, Ui a U n , a I'ecoute du message 
emis MSG et de sa signature SIGN,. 

La verification consiste a reconstituer la signature de P£metteur et 

5 de la comparer a celle re9ue. Pour fixer les idees, on consid£re le cas d'une 
carte a puce CP, recevant de la carte a puce CP/ les diff6rentes donn6es 
illustrees sur la figure 7. L'architecture de la carte a puce CPj est, a priori, 
tout a fait semblable a celle de la carte a puce CP/, sinon identique. Celle-ci 
comprend notamment une memoire non-volatile referencee M' dans laquelle 

10 sont enregistr6s les deux paires de cles meres, MKSu k MKS& (positions 
de memoire MS, M' 2 , M' 4 et My, deux cles diversifi6es, dKS m et dKSz® 
(positions de memoire M' 3 et M' 6 ), secret de la carte CP/, des donnees 
d'identification IDj (Info^t un 
certificat CTAj (position de memoire M' 9 ) et, dans une variante pref6r6e, 

15 deux cies d'authentification dKSA^ et dKSA 2 (j) (positions de m6moire M\ 0 
et M'n). 

Une premiere cie diversifiee, referencee dKS-i est calcuiee a partir 
des cles meres MKSu et MKS^ et de I'identifiant ID\ regu de la carte a puce 
CP/, en faisant appel a un algorithme symetrique, preferentiellement un T- 

20 DES", reference 5a. L'identifiant ID f est injecte sur 1'entree de donnees. Les 
cles meres MKSu et MKS12 sont transmises aux entrees de cies. Une 
deuxieme cle diversifiee est calcuiee de la meme fagon a I'aide du T-DES M 
5b, a partir des cies meres MKS21 et MKS22 et egalement de I'identifiant 
regu ID f . Les cles diversifiees calcuiees, dKSi et dKS 2 , peuvent etre 

25 stockees temporairement dans des registres, 6a et 6b, ou dans des 
positions d'une memoire vive (non representee) dont est munie 
habituellement une carte a puce. Un troisieme "T-DES", reference 5c regoit 
en entrees de cies les cies calcuiees precedemment et sur son entree de 
donnees, le message MSG transmis par la carte a puce CP h ainsi 

30 qu'eventuellement le mot de comptage de generation de signatures CGS. 
La donnee en sortie du module 5c, referencee SIGN, est supposee 
representor la signature SIGNi emise par la carte a puce CP/. Les donn6es 
correspondantes peuvent etre stockees dans un registre 6c ou une position 
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de memoire vive. On pr6voit une operation de comparaison effectu6e par le 
module 7. Si la signature reconstitute SIGN est identique & la signature 
regue SIGN it le resultat (signal ou donn6es sur la sortie S) est positif et cette 
dernidre authentique. 

5 La carte a puce CPj regoit 6galement de la carte & puce CP/ le 

certificat CTA (voir figure 7). Ce dernier peut §tre v6rifie par le module 8 h 
I'aide de la cie publique K P emise par I'autorite de certification CA (figures 1 
et 4). Comme il a ete rappeie, la cie publique K P est mise & la disposition de 
tous les utilisateurs U jt au moins & I'interieur d'un m§me groupe s'il existe 

10 plusieurs groupes distincts. Une donnee de verification du certificat CTA\ est 
disponible sur la sortie S. 

Pour des raisons de clarte du dessin, les T-DES", 5a h 5c, les 
registres, 6a a 6c, les organes de comparaison 7 et de verification 8 ont 6te 
represents h Texterieur de la carte a puce CPy. II va de soi que, comme 

is precedemment, ces derniers sont implantes dans !a carte a puce, les cl6s 
diversifi6es et les r6sultats des calculs ne devant pas etre divulgu6s au 
monde exterieur. Les fonctions realisees peuvent d'ailleurs faire appel en 
tout ou partie a des logiciels. 

La verification d'une signature generee conformement au deuxfeme 

20 mode de realisation du procede selon I'invention va maintenant etre decrite 
par reference a la figure 9. Les elements communs aux figures precedentes, 
notamment a la figure 8, portent les memes references et ne seront re- 
decrits qu'en tant que de besoin. 

Comme precedemment, une cie diversifiee, cfKSi, est calculee a 

25 partir de I'identifiant ID,- regit de la carte a puce CP/. Par contre la cie 
diversifiee c/KSbo), stock6e dans la carte a puce^CPy, est directement utilis6e 
comme cie de signature. On suppose que la cie dKS 2 (/; a et6 obtenue par 
diversification a partir des cles meres MKS& et MKS22 et de I'identifiant IDj 
foumi par la carte a puce CPy. La cie ofKS 2(/) et la cie calcul6e sont 

30 transmises aux entrees de cies du "T-DES" 5c, qui regoit sur son entree de 
donnees, comme precedemment, le message transmis MSG et, 
optionnellement, le mot de comptage de signature CSG. Le reste du 
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processus est identique k celui d6crit pour le premier mode de realisation 
(figure 9), et il est inutile de le re-decrire en detail. 

Le certificat CTA\ est v6rifie de la meme fagon que pr6c6demment. 

Dans les deux cas la signature calcuiee, SIGN n'est jamais d6livree 
5 au monde exterieur. Seul le resultat de la comparaison peut etre divulgu6. 

En resum6 de ce qui precede, puisque ni les cies diversifi6es, secret 
de chaque carte a puce, par exemple CP/, ni les resultats des calculs de 
signature ne sortent des cartes a puce, il s'ensuit que le systeme est non 
repudiable. 

10 On va maintenant decrire, par reference & la figure 10, la verification 

de Tauthenticite de la signature SIGN}. 

Tout usager Uj ayant verifie une signature g6n6r6e par un autre 
usager, par exemple U h peut soumettre a I'autorite de certification CA 
I'identifiant du signataire ID U le certificat de cet identifiant CTAu la signature 

15 S/GA//, les donnees d'authentification ASIGNi et les donn6es optionnelles de 
comptage de generation de signature CGS. 

A partir de ces donnees, I'autorite de certification CA recalcule, a 
partir des paires de cles meres MKSA U a MKSA& et du diversifiant ID/ 
(apres controle de Hdentite certif iee) de la carte a puce signataire CP/ et/ou 

20 de son porteur t//, des cies diversifies dKSA^ et dKSA 2 ^ pour controler 
les donnees d'authentification de signature ASIGNi. 

Les paires de cles meres MKSAu-MKSAn, d'une part, et MKSA 2 ^ 
MKSA22, d'autre part, sont transmises aux entrees de cles de deux modules 
"T-DES", 9a et 9b, qui regoivent, sur leurs entrees de donnees, les 

25 identifiants ID,. Les sorties de ces modules fournissent les cies diversifiees 
d'authentification de signature, dKSA^ et dKSA 2 {^ c!6s transmises aux 
entrees de cles d'un troisieme "T-DES", reference 9c. Ce dernier regoit sur 
son entree de donnees, la signature SIGNf et les donnees de comptage de 
generation de signature optionnelles CGS. Les donnees ASIGN pr6sentes 

30 sur la sortie du "T-DES" 9c sont sensees representer les donnees ASIGNi 
reconstituees. Elles sont done compares a ces dernieres dans un module 
comparateur 9d. Le resultat de la comparaison, positif ou negatif, est 
disponible sur la sortie S u du module 9of. Ce resultat est retoume a I'usager 
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qui en fait la demande, par exemple I'usager U h sign6 par les ctes dKSA^ 
et dKSA 2{ f) et d'un T-DES" 9e. Naturellement, ces cl6s, dKSA^ et dKSA 2 ^ 
ne sont pas transmises directement par I'usager U h mais recalcul6es par 
I'autorite de certification CA, par application de 'T-DES" (non repr6sent6s) et 

5 a I'aide des cles meres MKSA\ 1 - MKSA^ 2 , d'une part, et MKSA 2 ^MKSA 2 2 i 
d'autre part, et de I'identifiant IDj de I'usager U Jt de fagon analogue au calcul 
des ctes dKSA H f> et dKSA> w . Le r6sultat sign6 R, en sortie du "T-DES" 9e, 
peut alors §tre d6chiffre par I'usager Uj a I'aide de ses propres cles 
d'authentification dKSA m et dKSA m , par application d'un "T-DES M 

10 supplemental (non repr6sente). 

Optionnellement, un mot de passe ou toute identification analogue 
("PIN-code, etc.) peut etre exigee pour renforcer encore la s6curit6 du 
processus. 

A la lecture de ce qui precede, on constate ais6ment que I'invention 
15 atteint bien les buts qu'elle s'est fix6s. 

Elle assure, notamment dans sa variante de realisation pr6fer6e, 
une grande securite et la possibility d'obtenir une non-r6pudiation des 
signatures 6mises, ce sans devoir recourir k des proc6des de cryptage 
asymetriques au sein de cartes a puce, et de fagon plus g6n6rale de 
20 terminaux embarques legers a puce electronique. De ce fait, il devient 
possible d'utiliser des puces electroniques pourvues de moyens de calcul et 
de memoire standards. En particulier, il n'est pas n^cessaire que la puce 
electronique soit pourvue d'un co-processeur math6matique. 

II s'ensuit que le cout et la complexity induits par le proc6d6 restent 
25 dans des limites acceptables pour des applications dites "grand public" 

II doit etre clair cependant que Pinventidn n'est pas limitee aux seuls 
exemples de realisations explicitement decrits, notamment en relation avec 
les figures 1 a 10. 

En particulier, bien que I'algorithme asym§trique "RSA" et 
30 Talgorithme sym6trique de type triple "DES" soient particulierement 
interessants, Tinventlon n'est en aucune fagon Iimit6e h ces seuls 
algorithmes. D'autres algorithmes, tant asymetriques que sym6triques, 
respectivement, sont tout a fait envisageables. Le choix d'un algorithme 
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particulier ne constitue qu'un choix technologique a la portee de I'Homme de 
M6tier, en fonction notamment de I'application precise vis6e. 



WO 02/19613 



PCT/FR0 1/02720 



23 

REVENDICATIONS 

1 . Proced6 de generation de signature non-r6pudiable par une premiere entite 
d'un ensemble, notamment par un systdme embarque a puce eiectronique 
comportant au moins des moyens de memoire non-volatile et des moyens de 
calcul, ladite signature etant destin6e a §tre diffus6e et v6rifi6e par au moins 
Tune desdites entites de I'ensemble, caracterise en ce qu'il comprend une 
phase preliminaire comportant au moins les etapes suivantes : 

- le stockage dans lesdits moyens de memoire non-volatile (M) de deux 
paires de cles de signature dites "meres" (MKS^MKS^ MKS21- 
MKS22), communes h toutes lesdites entites (CP,, CPj) ; 

- la generation, a partir d'au moins une desdites paires de cl6s de 
signature "meres" [MKSu-MKS^ et d'un identifiant unique (/D/), 
propre a ladite premiere entite (CP/), d'une premiere cle de signature 
dite diversifiee (dKS^), par application d'un algorithme de 
cryptographie symetrique (1) et le stockage de ladite cie diversifiee 
dans lesdits moyens de memoire non-volatile (M) ; 

- le stockage dudit identifiant unique (IDi) dans lesdits moyens de 
memoire non-volatile (M) ; 

- la generation par une entite supplemental dite "autorite de 
certification 11 (CA) d'un certificat (CTAi) constituant une habilitation a 
signer pour ladite premiere entite (CP/), ledit certificat (CTAI) etant 
obtenu a partir au moins dudit identifiant (IDI) et d'une cle privee de 
chiffrement (K A ) detenue par ladite autorite de certification (CA), par 
application d'un algorithme de cryptographie asymetrique (2), et le 
stockage dudit certificat (CTAi) dans lesdits moyens de m6moire non- 
volatile (M) ; et 

- la distribution, par ladite autorite de certification, d'une cie publique de 
verification de signature (K P ) a tout ou partie desdites entites (CP/, CPJ) 
de Pensemble 

et une phase subsequente comprenant au moins les etapes suivantes : 
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- la generation de ladite signature non-r6pudiable (SIGN) k 
partir de ladite premiere cl£ de signature diversifiee (dKS<\(jj), d'une 
deuxi&me cl£ de signature diversifiee (dKS 2 <i), dKS' 2 (j)) et de donn6es k 
transmettre {MSG) destinees a au moins une desdites entit6s (CP/) de 
('ensemble, par application d'un algorithme de cryptage symetrique (3, 
3 1 ) ; et 

- la diffusion k destination d'au moins Tune desdites entites (CP/) de 
['ensemble d'au moins lesdites donnees (MSG), de ladite signature 
(S/GA//), dudit identifiant {ID) et dudit certificat (CTA). 

2. Procede selon la revendication 1 , caracteris§ en ce que ladite deuxidme cie 
de signature diversifiee {dKS^) est generee, pendant ladite phase pr6liminaire, 
a partir de ladite deuxfeme paire de cl6s de signature "meres" (MK521-M/CS22) 
et dudit identifiant unique propre (/D/) a ladite premiere entity (CP/), par 
application d'un algorithme de cryptographie symetrique (1), et en ce que ladite 
deuxieme cle de signature diversifiee {dKS 2 ^) est stockee dans lesdits moyens 
de memoire non-volatile (M). 

3. Procede selon la revendication 1, caracteris^ en ce que ladite deuxieme cie 
de signature diversifiee (dKS' 2 (j)) est generee k partir de ladite deuxieme paire 
de cles de signature "meres" (MKS&-MKS&) et d'un identifiant unique (IDj) 
propre a Tune desdites entites (CPy), destinataire de ladite signature non- 
repudiable (S/GA//), par application d'un algorithme de cryptographie symetrique 
(3'). 

4. Precede selon la revendication 1, caracterise en ce qu'il comprend une 
etape supplemental de generation, pendant ladite phase preliminaire, par 
ladite autorite de certification (CA) t d'une paire de cles de signature 
supplementaires dites d'authentification (dKSA^ dKSA 2{l) ) k partir de deux 
paires de cles de signature dites "meres" {MKSA^MKSA^ MKSAn-MKSAzz) 
propres a cette autorite (CA) et dudit identifiant (ID!) propre a ladite premiere 
entity (CP/), par application d'un algorithme de chiffrement symetrique (1', 1"), et 
en ce que ladite paire de cles d'authentification (dKSA^, dKSA 2{i) ) est stockee 
dans lesdits moyens de memoire non-volatile (M). 
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5. Procecte selon la revendication 4, caract6ris6 en ce qu'il comprend une 
etape de generation, par ladite premiere entite (CP/), de donn6es dites 
d'authentification de signature (ASIGNi) k partir de ladite paire de cl6s de 
signature suppl6mentaires d'authentification (dKSA^, dKSA 2 {i)) et d'au moins 
ladite signature non-repudiable (S/GA//), et en ce que lesdites donn6es 
d'authentification de signature (ASIGNI) sont diffus6es a destination d'au moins 
une desdites entites (CPj) de I'ensemble. 

6. Procede selon la revendication 1, caracterise en ce qu'il comprend une 
phase de verification de ladite signature non-r6pudiable (SIGN}) par au moins 
une deuxieme entity (CPy) dudit Pensemble comportant au moins les etapes 
suivantes : 

- la generation de premiere et seconde cl6s de signature diversifies 

(cffCSi, dKSz), chacune desdites c!6s de signature etant g6n6r6e k 
partir desdites paires de c!6s "meres" " (MKSu-MKS*2t MKSz^MKS^ 
stockees dans lesdits moyens de memoire non-volatile (M) et dudit 
identifiant (/D/) diffuse par ladite premiere entite (CP/), par application 
d'un algorithme cryptographie symetrique (5a, 5b) ; 

- la reconstitution d'une signature {SIGN), a partir de ces dites d6s de 
signature diversifi6es (dKSi, dKSz) et d'au moins desdites donn6es 
(MSG) transmises par ladite premiere entity (CP/), par application d'un 
algorithme de cryptographie symetrique (5c) ; et 

- la verification de ladite signature non-repudiable (S/GA//) g6n6ree par 
ladite premiere entite (CP/) par comparaison (S, 7) de celle-ci avec 
ladite signature reconstituee (SIGN), de maniere a valider lesdites 
donnees transmises (MSG). -* 

7. Precede selon la revendication 6, caracterise en ce qu'il comprend une 6tape 
de verification (8) dudit certificat (CTAfr transmis par ladite premiere entite (CPi), 
a I'aide de ladite cie publique de verification de signature (Kp) deiivree par ladite 
autorite de certification (CA). 

8. Procede selon la revendication 7, caracterise en ce que ledit ensemble est 
partitionne en plusieurs groupes distincts d'entites et en ce que ladite autorite 
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de certification (CA) distribue h chacun desdits groupes une cle 
publique differente. 

9. Procede selon la revendication 5, caract6ris6 en ce qu'il comprend une 
phase de verification desdites donnees d'authentification comportant au moins 
les etapes suivantes : 

- la soumission & ladite autorite de certification {CA), par au moins Tune 
desdites entites (CPj) de Pensemble, desdites donnees 
d'authentification (ASIGNI) rogues de ladite premiere entite (CP/) ; 

- la generation par ladite autorite de certification (CA) de premiere et 
seconde cies de verification diversifies (dKSA 1t CIKSA2), chacune 
desdites cles de verification etant gen£r£e k partir desdites paires de 
cl6s "meres" (MKSA U -MKSA 12 , MKSA 2 ^-MKSA 22 ) propres h ladite 
autorite de certification (CA) et dudit identifiant (ID!) diffuse par ladite 
premiere entite (CP/), par application d'un algorithme de cryptographie 
symetrique (9a, 9b) ; 

- la reconstitution de donnees d'authentification de signature (ASIGN), a 
partir de ces dites cies de verification diversifiees g6ner6es (dKSAi, 
CIKSA2) et d'au moins ladite signature (SIGN1) transmise par ladite 
premiere entite (CP/), par application d ! un algorithme de cryptographie 
symetrique (9c) ; et 

- la verification desdites donnees d'authentification de signature 
(ASIGNj), transmises par ladite premiere entite (CP/), par comparaison 
(S p , 9d) de celles-ci avec lesdites donnees d'authentification de 
signature reconstituees (ASIGN), de maniere a les valider ; et 

- la retransmission du resultat (S n ) de la comparaison a ladite entite 
(CPj) ayant soumis lesdites donnees d'authentification de signature 
(ASIGNi). 

10- Procede selon la revendication 4, caracterise en ce qu'il comprend des 
etapes de generation (4) de donnees de comptage de generation de signature 
(CSG) et en ce que lesdites donnees de comptage de generation de signature 
(CSG) sont utilisees conjointement aux dites donnees a transmettre (MSG) 
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pour generer ladite signature non- repudiable {SIGN!) et/ou h cette 
signature (SIGN!) pour gen6rer lesdites donn6es d'authentification de signature 
{ASIGNi). 

1 1 . Proc6de selon la revendication 1 , caract6ris6 en ce que lesdits algorithmes 
de cryptographic symdtrique (1, 3) sont constitues par des triples "DES". 

12. Procede de generation de signature non-repudiable par une premidre entity 
(CPi) d'un ensemble, notamment par un systeme embarque k puce 
electronique comportant au moins des moyens de memoire non-volatile et des 
moyens de calcul, ladite signature etant destin6e a etre diffus6e et verifi6e par 
au moins Tune desdites entites (CPj) de Pensemble, caract6ris6 en ce qu'il 
consiste k g6n6rer ladite signature non-r£pudiable (SIGNI) k partir d'une 
premiere cle de signature diversiftee (dKS^) obtenue a partir d'au moins une 
paire de cl6s de signature "meres" (MKSu-MKS^) communes k toutes les 
entites (CPi, CPj) et d'un identifiant unique (/D/), propre a ladite premifere entite 
(CP/) par application d'un algorithme de cryptographie sym6trique (1), d'une 
deuxieme cle de signature diversifi6e (dKS 2( i), dKS^o)) et de donnees a 
transmettre {MSG) destinees a au moins une desdites entites (CPj) de 
Pensemble, par application d'un algorithme de cryptage sym6trique (3, 3'), la 
signature etant destinee a etre diffusee a au moins Tune desdites entites (CPj) 
de Pensemble avec au moins lesdites donn6es (MSG), ledit identifiant (/D/) et un 
certificat (CTAl) constituant une habilitation a signer pour la premiere entite 
(CPi) obtenu a partir au moins dudit identifiant (ID) et d'une cle privee de 
chiffrement (K A ) detenue par une autorite de certification (CA), par application 
d'un algorithme de cryptographie asymetrique (2). 

13. Proc6d§ de personnalisation d'une entite (CPi) d'un ensemble dans le but de 
mettre en oeuvre le procede de generation de signature non-r6pudiable par 
ladite entite (CPi) selon la revendication 12, caracterise en ce qu'il comprend 
les etapes suivantes : 

- le stockage dans lesdits moyens de memoire non-volatile (M) de deux 
paires de cl6s de signature dites "meres" (MKSn-MKS^2> MKS21- 
MKS22), communes atoutes lesdites entites (CP,, CP/) ; 
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- la g6n6ration, a partir d'au moins une desdites paires de cl6s de 
signature "m&res" (MKS^-MKS^) et dudit identifiant unique (/Dy), 
propre a ladite premiere entity (CP/), de ladite premiere cte de 
signature diversifi6e (clKS^), par application d'un algorithme de 
cryptographie sym^trique (1) et le stockage de ladite cle diversifi6e 
dans lesdits moyens de m6moire non-volatile (M) ; 

- le stockage dudit identifiant unique (/D/) dans lesdits moyens de 
memoire non-volatile (M) ; 

- le stockage dans lesdits moyens de memoire non-volatile (M) dudit 
certificat (CTAi) genere par une entity supptementaire dite "autorite de 
certification" (CA) constituant une habitation a signer pour ladite 
premiere entity (CP/), ledit certificat (CTAi) etant obtenu a partir au 
moins dudit identifiant (/D,) et de ladite cl6 priv§e~de chiffrement (K A ) 
detenue par ladite autorite de certification {CA), par application d'un 
algorithme de cryptographie asymetrique (2). 

14. Systeme embarque a puce electronique destine a la generation d'une 
signature non-r§pudiable destin£e a etre diffusee et verifi6e par au moins un 
deuxieme systeme embarque d'un ensemble, chacun desdits systemes 
embarqu6s comprenant au moins des moyens de memoire non-volatile et des 
moyens de calculs implantes dans ladite puce electronique, caracteris6 en ce 
que lesdits moyens de memoires non-volatile (M) stockent au moins deux 
paires de cl6s de verification dites "meres" (MKS^-MKS^, MKS^-MKS^), un 
identifiant (IDI) propre au dit systeme embarque (CP/), au moins une premiere 
cle de verification dite "diversifiee" (ctfCSi W ), generee a partir d'une desdites 
paires de des de verification "meres" (MKSu-MKSi 2 ) et dudit identifiant (/D/), 
par application d'un algorithme de cryptographie symetrique (1), et un certificat 
(CTAi), genere par une entite dite "autorite de certification" {CA) a partir d'une 
cle privee de signature (K A ) detenue par ladite autorite de certification (CA) et 
dudit identifiant (/D/), par application d'un algorithme de cryptographie 
asymetrique (2), et en ce qu'il comprend des moyens de generation (1) de ladite 
signature par application d'un algorithme de cryptographie symetrique (3, 3'), en 
faisant usage de ladite premiere cle de signature diversifiee (gVCSim), d'une 
seconde cle de signature diversifiee (dKS 2 (i), dKS' 2 ©) et de donnees a diffuser et 
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k signer (MSG), pour transmission k destination d'au moins un deuxifcme 
systdme embarqu6 (CP/) dudit ensemble. 

15- Systfeme selon la revendication 14, caract§ris6 en ce que lesdits moyens de 
m6moire (M) stockent en outre une paire de cl6s de v6rification 
supptementaires dites d'authentification (dKSA m , dKSA 2 ^) t g6n§r6es par ladite 
autorit6 de certification (CA) k partir d'une paire de cl6s de v6rification dites 
"mfcres" (MKSA^-MKSA^, MKSA 2 ^MKSA^ propres k cette autorite de 
certification (CA) et dudit identifiant (ID!) propre k ladite premiere entit6 (CP/), 
par application d'un algorithme de chiffrement sym6trique (1\ 1"). 

16. Systeme selon la revendication 14, caracteris6 en ce qu'il est constitu6 par 
une carte k puce (CP/). 
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